Готовится к выходу Firefox 3.0.3

image

Теги: Firefox, ошибка, браузер

В последней версии браузера Firefox 3.0.2 обнаружена ошибка, которая блокирует доступ пользователей к сохраненным паролям.

В последней версии браузера Firefox 3.0.2 обнаружена ошибка, которая блокирует доступ пользователей к сохраненным паролям в кодировке, отличной от UTF-8. Пользователи, которые установили версию 3.0.2, не смогут воспользоваться сохраненными паролями или сохранить новые пароли в браузере. Разработчик уверяет, что данные не были потеряны. Они просто недоступны для пользователей, установивших исправление. Новая версия 3.0.3 уже готова к выходу и станет доступной в ближайшее время.

Напомним, что 23 сентября Mozilla выпустила версию браузера Firefox 3.0.2, в которой было устранено 10 уязвимостей.

Тенденция выпуска «патча на патч» стала достаточно популярным явлением у различных производителей ПО с закрытым и открытым кодом. Остается только надеяться, что в будущем производители будут более тщательно тестировать вносимые изменения в код перед выпуском очередного обновления.

или введите имя

CAPTCHA
Страницы: 1  2  3  
1
26-09-2008 09:28:56
Тенденция выпуска «патча на патч» стала достаточно популярным явлением у различных производителей ПО с закрытым и открытым кодом. Остается только наедятся, что в будущем производители будут более тщательно тестировать вносимые изменения в код перед выпуском очередного обновления.Хотелось бы... Новостная статья хорошая, не наркоманская, в отличии от многих других. Жаль, что короткая.
0 |
1
03-10-2008 12:15:39
Вот интересно всё-таки жисть устроена. Сижу из под фокса 3.0.3 и читаю в правой колонке на всех страницах секлаба "Готовится к выходу Fifefox 3.0.3". И жуть берет, а вдруг в дыру во времени провалился? Ньясмейкеры ваши хотя бы заголовки правильные делали. Если вешаете новости в колонку, так надо или название менять или сразу давать вразумтельное. В октябре читать, что готовится к выпуску 3.0.3 уже как-то не в тему.
0 |
1
03-10-2008 12:21:16
Или это часть общей стратегии повсеместного пиара мс софта? Что-то подолгу висящих сообщений о вторниках патчей, мелкософтских "патчей на патчи" и сообщений о дырах в МС не видно.
0 |
1
07-10-2008 13:59:52
lib_timemachine.so
0 |
1
26-09-2008 09:32:31
А нафига вообще хранить пароли в браузере?..
0 |
26-09-2008 09:37:24
Вот это прально пороли нужно в голове хранить!
0 |
1
26-09-2008 15:55:16
Хранить в голове полсотни индивидуальных(чтобы компрометация одного пароля не затрагивала другие) более-менее стойких 10..20-символьных паролей, состоящих из бессмысленного(иначе атака по словарю будет успешной) набора букв в разном регистре, цифр и специальных знаков? Да вы гений!
0 |
1
27-09-2008 02:41:35
Ничего сложного можно хоть миллион сохранить. Главное выработать алгоритм создания своих паролей. Ты же не используешь "программу для запоминания результатов деления всех чисел на все числа" ты просто знаешь алгоритм деления и тебе этого достаточно. Я например использую определенное преобразование домена сайта в паре с логином для создания крипоусточивого пассворда. в нете есть несколько статей на эту тему. Так что "гением" быть не сложно.. главное чтоб не таким идиотом как ты
0 |
1
27-09-2008 16:12:15
12345seclab 12345rambler и т.д.?
0 |
1
27-09-2008 22:34:38
Ничего сложного можно хоть миллион сохранить. Главное выработать алгоритм создания своих паролей.Т.е. каждый раз ты светишь свой легко запоминающийся алгоритм преобразования.Таким образом, если этот простой алгоритм будет определён,то вслед за базой взломанного форума, содержащего результат преобразования в виде твоего пароля в открытом виде, уйдет и весь миллион остальных паролей.Очень "умно" и "стойко". Это называется "класть все яйца в одну корзину". Я же использую длинные стойкие пароли, сгенерированные датчиком случайных чисел, который черпает энтропию из случайных физических событий. Эти пароли сложно запомнить и они никак не связаны друг с другом единым алгоритмом,поэтому компрометация любого из паролей из-за взлома дырявой конференции не может даже теоретически поставить по удар остальные пароли. При этом всё, что мне нужно помнить - это пара сложных паролей,открывающий локальное хранилище паролей,ключевой диск, криптодиск и памятку паролей в телефоне. При этом пароли гарантированно не хранятся в открытом виде и оценочная защищённость локальных хранилищ минимум на порядок превышает защищённость дырявых форумов на шаред хостингах, торчащих круглосуточно в сети. Не говоря уже о том, что компрометация одного из хранилищ не ставит под удар другие, физически изолированные. Так что "гением" быть не сложно.. главное чтоб не таким идиотом как ты От хама и самоуверенного идиота, которому собственные мозги заменили чьи-то статьи, слышу.
0 |
1
28-09-2008 03:58:27
1) Само собой разуммется ты несешь бред ибо хранить сложные пассворды в телефоне или в хранилище FF защищая все 1 пассвордом это как раз и есть случай яиц в корзине, к которой кстати есть физический доступ. "пара сложных паролей,открывающий локальное хранилище паролей" большой минус ибо ты привяан к хранилищу и без него никак. 2) "компрометация одного из хранилищ не ставит под удар другие". Это базовое требование к группе паролей и оно не зависит от длины и сложности пароля. Твое утверждение верно если никто не знает алгоритм генерации паролей И если он будет настолько непрозрачным для стороннего наблюдателя (т.е. он имея пассворды ^&DH&*j2==9 и HHJjl4747k не сможет все равно восстановить алгоритм). Конечно если с фантазией все так плохо И ты ИДИОТ то 12345seclab или 12345rambler то стоит подумать о создании хранилища в телефоне. 4) "Энтропию из случайных физических событий" - это такой же "нерандом" с точки зрения математики как и мой алгоритм. 5) Использовать "генератор в голове" мне пришлось после того кк я утерял флэшку с хранилищем бесткрипта, и надо сказать на протяжении 5 лет не подводило. Давайте просто пожелаем всем больше доверять своему мозгу пароли чем быдлокодерам.
0 |
1
28-09-2008 21:46:17
хранить сложные пассворды в телефоне или в хранилище FF защищая все 1 пассвордом это как раз и есть случай яиц в корзине"Корзин" несколько. к которой кстати есть физический доступ. Но не ко всем "корзинам". большой минус ибо ты привяан к хранилищу и без него никак. Это быол бы проблемой, если было бы жгучее желание вводить свои пароли в интернет-кафе,на чужих компьютерах и еще черти где, а не со своих доверенных машин.Телефон с хранилищем всегда с собой. Ноут,сабноут или флешку носить с собой тоже никто не запрещает. Твое утверждение верно если никто не знает алгоритм генерации паролей т.е. он имея пассворды ^&DH&*j2==9 и HHJjl4747k не сможет все равно восстановить алгоритмАлгоритм генерации должен быть простым чтобы его легко можно было запомнить и достаточно просто применить, иначе теряется смысл затеи, значит определение алгоритма это лишь вопрос времени и IQ взломщика и успех такой атаки ставит под удар ВСЕ ПАРОЛИ. Получив пароль из базы взломанного форума и зная, что пароль это результат некой функции от логина и домена, которые тоже известны, можно прогнать все возможные варианты простых преобразований и сломать алгоритм тупым брютфорсом.Скорее всего, чтобы не заниматься для ввода пароля вычислениями по полчаса, "преобразования" это некие отступы по кнопкам клавиатуры, а значит задача еще больше упрощается. 4) "Энтропию из случайных физических событий" - это такой же "нерандом" с точки зрения математики как и мой алгоритм. Ну-ну.И давно ли математика научилась высчитывать и предсказывать время поступления и содержимое сетевых пакетов, скан-кодов клавиатуры и показаний TSC в эти моменты? Хотелось бы посмотреть как кто-нибудь сможет по имеющемуся паролю определить и алгоритм генерации случайных чисел на конкретной платформе и алгоритм программы генерации пароля из этих случайных чисел, а затем заглянуть в прошлое и абсолютно точно предсказать и время генерации других паролей и показания RTC и TSC в моменты генерации, энтропию порождённую из случайных нажатий клавиш в случайные моменты времени, случайных сетевых пакетов и предыдущего состояния генератора, которое сохраняется при перезагрузке, а также длину этого пароля и выбранный понравившийся пароль из десятков предложенных вариантов. Ну и в качестве дополнительного бонуса: платформы менялись, архитектуры различные, программы генерации случайных чисел тоже менялись,RTC имеет тенденцию отставать и может показывать как локальное так и UTC время,предыдущее значение энтропии пару раз аннулировалось, а в ряде случаев был использован метод генерации пароля "от фонаря" вручную. Абсоолютно уверен, что даже зная домен, логин и скомпрометировав вот такой пароль, сгенерированный с помощью ДСЧ, "0iKveVV'6#v1rPzk}9;g", другие пароли не будут скомпрометированы. 5) Использовать "генератор в голове" мне пришлось после того кк я утерял флэшку с хранилищем бесткрипта, и надо сказать на протяжении 5 лет не подводило.Замечательно. Но ведь это не повод сходу называть всех, кто пользуется стойкими паролями и другими проверенными временем методами, идиотами. Если злоумышленник сможет скомпрометировать компьютер, получить доступ к хранилищу паролей и поставить клавиатурный снифер,чтобы получить мастер-пароль к хранилищу, то таким же образом он установит клавиатурный снифер и перехватит пароли, сгенерированные спец. алгоритмом даже если нет галки "запомнить пароль", таким же образом может быть скомпрометирован и крипто-диск и ключевой носитель. Поэтому будущее не за паролями, а за токенами. Хотя и это не панацея потому, что, к примеру, скомпрометировав ПК пользователя и установив прокси, можно проехать на нём в защищенную VPN...
0 |
1
29-09-2008 04:02:48
Но не ко всем "корзинам".ХА! Но все таки к одной корзине уже есть!! Нечего сказать? 1:0 "Ну-ну. И давно ли математика научилась высчитывать и предсказывать время поступления и содержимое сетевых пакетов, скан-кодов клавиатуры и показаний TSC в эти моменты?"хэ-хэ.. сынок.. с момента создания теории групп и тер. вероятности. Сразу видно что вы не читали исследований по предсказанию полей ISSs и ISSc в TCP/IP пакетах. Это один из сложнейших методов захвата сессии ибо эти поля основаны на принципах генерирования некого числа по псевдослучайному принципу, в windows NT например это кажись время прошедшее в секундах от какого то там ЧЧ/ММ/1970года и поделенное на чтототам,в линухе это если мне изменяетс память некое преобразование от часов (в разных дистрибах по разному). Если не знали, то тогда новость о предсказании пароля в SSH сессии по времени возможного нажима на клавиши и расстоянию между ними вообще тебе покажется кошмаром. Вы просто слегка переоцениваете и доверяетесь силе "рандома". Обе новости были на страницах секлаба. 2:0 Абсолютно уверен, что даже зная домен, логин и скомпрометировав вот такой пароль, сгенерированный с помощью ДСЧ, "0iKveVV'6#v1rPzk}9;g", другие пароли не будут скомпрометированыКонечно не будут равно как и в моем случае. Даже при кротком 0iKveVV' не будут. 3:1 Получив пароль из базы взломанного форума и зная, что пароль это результат некой функции от логина и домена, которые тоже известны, можно прогнать все возможные варианты простых преобразований и сломать алгоритм тупым брутофорсом.Если ты не программируешь с помощью мышки И если ты вообще кодишь, то пожалуйста будь добр хотя бы дай наброски алгоритма который прогонит все варианты простых проеобразований и сломает алгоритм генерации. Могу забить на какой угодно срок что ты не подберешь ни алгоритма ни даже близковероятностного по смыслу пароля от последовательности ^&DH&*j2==9 и HHJjl4747k. (эти оба пароля сгенерированы по алгоритму преобразования домена и имени). А ну ка слабо? Согласись это немного посложнее чем подсадить тебе трояна или стырить у тебя флэшку Брут это конечно способ но когда кто-то видит пасс типа KJ8987dfhKJ*(90)(^#"" то у него отпадает охота брутить не так ли? И с чего ты решил что злоумышленнник непременно ЗНАЕТ алгоритм генерации мы что ему сообщили уже? Это нечестно Похищение моего алгоритма это такая же вероятность как и похищение твоего ключа от корзины. А? 3:1 Повторюсь последний раз что неоспоримое преимущество моего метода это отсутствие каких либо носителей кроме головы. 4:1 Если тебя уезвляет то что ты не можешь обойтись без кучи флэшек , ноутов или телефона, то твои странные и некомпетентные доказательства правоты (наверно взятые из журналов типа Системный администратор или Хакер) вообще не в счёт. Мне кажется болеющие за твоей метод это выходцы из людей которые до появления флэшек и крипторов записывали пассы в специальном блокнотике. ))) И в заключение: устроив голосование не среди Ксений Собачко которые не хотят запоминать пассворды а среди сисадминов которые ЗА БЕЗОПАСНОСТЬ мы получим что 80% будут за "хранилище в голове" а 15% за твой метод хранения. 5:1 Дядя писал тебе последний раз, а то лимит цитат для тупых ослов у меня закончился. Спасибо.
0 |
1
30-09-2008 09:03:09
ХА! Но все таки к одной корзине уже есть!! Открою небольшой секрет - у бразера действительно есть доступ к данным в домашней директории и ко всем паролям.Если у кого-то есть физический доступ, то он может поставить тебе кейлоггер. Нечего сказать?Если злоумышленник получит физ. доступ и установит кейлоггер, то, боюсь, тебе не поможет отключенная галка "сохранять пароли" и хитрые алгоритмы хранения паролей в мозгу. хэ-хэ.. сынок.. с момента создания теории групп и тер. вероятности.Прочитай вопрос внимательно. Наука уже может по паролю, алгоритм генерации которого завязан на ФИЗИЧЕСКИЕ СЛУЧАЙНЫЕ события определить любой другой сгенерированный с помощь этого же ГСЧ пароль? Если нет, то и нечего разводить демагогию. Сразу видно что вы не читали исследований по предсказанию полей ISSs и ISSc в TCP/IP пакетахСразу видно, что ты не видишь разницы между генератором случайных чисел и генератором псевдослучайных чисел. При генерации ISS используется генератор псевдослучайных чисел. При генерации моих паролей - генератор случайных чисел, использующий случайные физические события. в линухе это если мне изменяетс память некое преобразование от часов (в разных дистрибах по разному)А для генерации случайных чисел /dev/random, помимо неких арифметических действий и многократного SHA1 хеширования, использует пул энтропии от источников ФИЗИЧЕСКИХ СЛУЧАЙНЫХ величин(IRQ, дисковая подсистема, клавиатура). Если не знали, то тогда новость о предсказании пароля в SSH сессии по времени возможного нажима на клавиши и расстоянию между ними вообще тебе покажется кошмаром. Вы просто слегка переоцениваете и доверяетесь силе "рандома". Обе новости были на страницах секлаба. Это, наверное, про вырожденный случай - бездисковые встраиваемые системы без клавиатуры, которые лишены источников физических случайных событий. Если ты не программируешь с помощью мышки И если ты вообще кодишь, то пожалуйста будь добр хотя бы дай наброски алгоритма который прогонит все варианты простых проеобразований и сломает алгоритм генерации. Все варианты - это преувеличение. Предполагаю, что метод преобразования должен быть практичным и быстрым, а значит калькулятор,таблицы подстановки и десятиминутные преобразования для получения каждого пароля отпадают. Предполагаю, что наиболее практичный метод связан с некими смещениями на клавиатуре от символов, присутствующих в логине и домене. Если злоумышленник взломал форум и получил доступ к логину и паролю, то он может запустить поиск алгоритма и, взломав его, скомпрометировать и все другие пароли, зная только логин. Алгоритм поиска примерно такой: символы с кнопок клавиатуры вгоняются в несколько 2-мерных массивов(с функциональными кнопками и без, с tab/caps/shift/esc и без и т.д.). Затем берется первый символ логина(или домена) и пробуем смещения по диагоналям и вертикалям от 1 до, скажем, 20(слишком большие смещения отбрасываем как непрактичные), если попадаем в первый символ пароля - пробуем тот же алгоритм для следующего символа, затем тот же алгоритм для третьего... Можно также предусмотреть случаи, когда первый символ пароля это последний символ домена или логина, можно предусмотреть вариант, когда смещения с каждым символом линейной возрастают или убывают. Можно предусмотреть и массу других вариантов, пришедших в голову, как это сделано в john the reaper для упрощения взлома паролей, созданных из слов по некоторым правилам. Не стоит наивно полагать, что вариант простейших преобразований, сложность которого кастрирована до предела, чтобы можно было обходиться без получасовых преобразований вручную и сложных программ, есть нечто суперуникальное и никому не придёт в голову. Могу забить на какой угодно срок что ты не подберешь ни алгоритма ни даже близковероятностного по смыслу пароля от последовательности ^&DH&*j2==9 и HHJjl4747k. Мною были оговорены начальные условия, когда это будет возможно: злоумышленнику, взломавшему дырявый форум, известен и логин и пароль и домен. Насчёт первого пароля не уверен, а насчёт второго - что-то похожее на на преобразованную посл-ть "NNMm.ruru". И с чего ты решил что злоумышленнник непременно ЗНАЕТ алгоритм генерации мы что ему сообщили уже? Не знает, но есть риск, что узнает. Т.к. преобразование должно быть быстрым(чтобы не тратить по полчаса на ввод каждого пароля) и выполняться без специальных программ, вручную. А значит алгоритм очень простой. Согласись это немного посложнее чем подсадить тебе трояна или стырить у тебя флэшку Не соглашусь. И не надо подменять понятия, сравнивая взлом простого алгоритма преобразования с брютфорсом или попыткой угадать стойкий 20-символьный пароль, который не является функцией от логина и домена. Простые преобразования вроде xor или +- константа или +- прогрессия ломаются даже без знаний в области криптологии. А если уж пошла речь об ограблении с похищением флешки, то самый эффективный способ взлома паролей - терморектальный криптоанализ. И с чего ты решил что злоумышленнник непременно ЗНАЕТ алгоритм генерации мы что ему сообщили уже?Кто сказал, что он знает? Вероятность потери одного из паролей на слабозащищенных публичных ресурсах Интернет очень высока и это ставит под угрозу алгоритм. Алгоритм выбран простой для быстрого и практичного получения паролей, следовательно, вероятность его взлома достаточно высока. Вся защита строится только на предположении, что ни один из паролей не будет скомпрометирован, а если и будет, то злоумышленник не попытается попробовать варианты простых преобразований, а если и попробует, то не добьется успеха. Слишком много если. При чём взлом компьютера пользователя будет чреват компрометацией паролей вне зависимости от того пользуется ли он преобразованиями или хранилищем паролей, что не даёт никаких преимуществ по сравнению с хранилищем паролей. При этом схема с хранилищами в которых хранятся сгенерированные с помощью ГСЧ пароли, и где локальный взлом так же фатален, гарантирует, что при компрометации одного из паролей на каком-нибудь торренте другие скомпрометированы не будут. При этом всё равно придётся выбирать и помнить несколько сложных паролей на хранилища и, желательно, для повседневного локального или сетевого логинов. Но запомнить несколько логинов, сложных паролей и мастер-паролей - гораздо проще, чем несколько сотен стойких паролей и логинов. Для меня не проблема запомнить несколько паролей вида "zmokalar532turvalog!" на локальный вход или хранилища вместо того, чтобы запоминать несколько сот разных буквенно-цифровых логинов и паролей вида "6sZeMnomWjk9(J7". Если тебя уезвляет то что ты не можешь обойтись без кучи флэшек , ноутов или телефона, то твои странные и некомпетентные доказательства правоты "Уязвляют" пишется через "я". Поставь нормальный браузер с проверкой синтаксиса, если неграмотен. Меня уязвляет прямое оскорбление и обвинение в некомпетентности, неподкреплённые никакими объяснениями. Мне кажется болеющие за твоей метод это выходцы из людей которые до появления флэшек и крипторов записывали пассы в специальном блокнотике.Уважаемый, как ты без привязанности к флешкам, брелкам и ключевым дискетам собираешься хранить 2048-битные RSA ключи, закрытые PGP ключи или 256-битные ключи GOST? Или в пионер-лагере с этим не сталкивались? Чем это не та же самая идея хранилища или идея блокнотика с pin, когда более стойкий ключ защищён менее стойким, который проще запомнить? Какие преимущества даёт твой метод кроме преимущества для хакера в виде потенциальной компрометации всех ключей при компрометации одного из них из-за взлома плохо защищённого Интернет-ресурса? Если считаешь, что локальный компьютер легко поразить трояном и похитить хранилище паролей,тогда включи голову и подумай чем твой способ лучше, если у тебя в системе будет стоять руткит или кейлоггер и перехватывать все вводимые пароли, составленные по мегаалгоритму? Дядя писал тебе последний раз, а то лимит цитат для тупых ослов у меня закончился. Спасибо.Дядя? Ты студент чтоли? То-то я думаю теория вероятности и журнал "хацкер" упомянуты неспроста, а сообщения прямо-таки сквозят юношеским максимализмом, комплексом неполноценности и непониманием тривиальных вещей таких как разница между ГСЧ и ГПСЧ или того факта, что для трояна с кейлоггером нет разницы где хранятся пароли - на бумажке,в хранилище или в голове.
0 |
1
30-09-2008 18:42:33
пляя.. ну ты и олень тупой тебе здесь 30 человек из 32 говорят что хранить в голове безопаснее а ты все свое. ладно уговорил не последний раз пишу. "Уязвляют" пишется через "я"Известно что к мелочам придирается тот кому больше не к чему придраться. Ибо я не кандидатскую пишу, тем более перед каким то оленем. насчет проверки синтаксиса я тебе честно скажу что мне есть чем заняться, поэтому такие вещи оставлю для блондинок типа тебя которые не понимают что "между ГСЧ и ГПСЧ" дейтсвительно нет никакой разницы ДЛЯ КЕЙЛОГГЕРА. Разница в соотношении "Удобство/Безопасноть" хранения пассвордов. Какие преимущества даёт твой метод кроме преимущества для хакера в виде потенциальной компрометации всех ключей при компрометации одного из них из-за взлома плохо защищённого Интернет-ресурса? Мой метод даёт ОХ***ОЕ преимущество в том что не надо гонять с флэшкой. Тебе тут уже написали что если ты не можешь запоминить 10-15 устойчивых паролей то ты не админ а олень, что и требовалось доказать. Однако ты про голосование почему то побоялся комментировать. Разуй глаза, здесь 30 человек против 3 написали что лучше хранить в башке а ты продолжаешь как идиот кривляться и нелепости нести.
0 |
1
30-09-2008 23:20:43
ну ты и олень тупойЯ не тупой. Просто не боюсь отстаивать свою точку зрения особенно перед теми, у кого нет никаких аргументов кроме оскорблений. Тебе здесь 30 человек из 32 говорят что хранить в голове безопаснее а ты все свое. Это не аргумент. Большинство вообще считает, что пароль "qwerty" и "1" достаточно безопасны, мотивируя это аргументом "да кому я нужен?", лепит пароли на монитор и отдает пароль за плитку шоколада. По сравнению с бумажкой - да, метод безопаснее. Против трояна с кейлоггером и терморектального криптоанализа метод клавиатурных преобразований не поможет, а значит преимуществ по сравнению с хранилищем в браузере не даёт. По сравнению с паролями, которые не связаны никакими правилами генерации проигрывает, поскольку ставит под угрозу все пароли при компрометации одной из удалённых систем, хранящей один из паролей. Известно что к мелочам придирается тот кому больше не к чему придраться.Известно, что только у закрытого IE, ну еще, может быть, у lynx, нет функции проверки синтаксиса и нет пароля на хранилище, поэтому, вероятно, близкое знакомство с троянами и сподвигло тебя к отказу от сохранения паролей. Ибо я не кандидатскую пишу, тем более перед каким то оленем.Про придирки вспомнил. А почему не вспомнил, что переходят на оскорбления только тогда, когда нет аргументов? Что ты, как раз, прекрасно и продемонстрировал. насчет проверки синтаксиса я тебе честно скажу что мне есть чем занятьсяПросто в IE нет проверки синтаксиса. оставлю для блондинок типа тебя которые не понимают что "между ГСЧ и ГПСЧ" действительно нет никакой разницы ДЛЯ КЕЙЛОГГЕРА.О том, что локальный взлом чреват компрометацией паролей вне зависимости от методов генерации я уже сто раз писал выше. Открой глаза. Отличная демонстрация бестолковости и передёргивания фактов, когда пытаются проводить какие-то параллели между ГСЧ для генерации паролей и компрометацией ГПСЧ, использующегося для генерации ISS в TCP/IP, а затем пытаются снова передёргивать. Разница между ГСЧ, ГПСЧ и совсем уж простым способом преобразований ЕСТЬ при компрометации удалённых ресурсов, содержащих пароль и она не в пользу простых преобразований. Разница в соотношении "Удобство/Безопасноть" хранения пассвордов. Хранилище паролей удобнее преобразований потому, что не нужно каждый раз вводить пароль вручную. При компрометации локальной системы и установке кейлоггера особой разницы между способами нет. А при удалённой компрометации одного из паролей остальным паролям, являющимся функцией от имени и домена, грозит компрометация. Вердикт: преобразования неудобны и менее безопасны. Мой метод даёт ОХ***ОЕ преимущество в том что не надо гонять с флэшкой.Вижу, что на вопрос насчёт PGP, GOST и RSA ключей ты сознательно ушёл от ответа. Что насчёт реверса преобразования "NNMm.ruru" в "HHJjl4747k"? Горячо? Тебе тут уже написали что если ты не можешь запоминить 10-15 устойчивых паролей то ты не админ а олень, что и требовалось доказать.Если бы ты сам мог запомнить 10-15 рандомных паролей, то не использовал бы метод преобразований, олень. %) Если у тебя так мало паолей, один логин на все ресурсы и пара хостов и нет ключей, которые ты зае..ся запоминать, то о чём с тобой вообще говорить, эксперт? Можешь и дальше "гонять" куда-то без флешки, подставляя одним скомпрометированным удалённо паролем все остальные. Однако ты про голосование почему то побоялся комментироватьКакое голосование? 30 человек против 3 написали что лучше хранить в башкеВ башке можно хранить и "qwerty". 1) Пароли должны быть стойкими. 2) Не должно быть вообще никаких слов из словаря или личных данных. Не должно быть никаких правил генерации, будь то объединение пары слов из словаря, русское слово в латинской раскладке или смещения по клавиатуре. Т.к. это значительно упрощает перебор. 3) Один ресурс - один уникальный пароль. Тема запоминания сотен уникальных несвязанных друг с другом правилами генерации паролей и ключей не раскрыта. 4) Мечтать об идеальной памяти не вредно. а ты продолжаешь как идиот кривляться и нелепости нестиСейчас я продиктую ключ для шифрования и авторизации, а ты расскажешь как его хранить в голове и "гонять" без позорных блокнотиков и флешки, наслаждаясь преимуществами твоего мегаметода: -----BEGIN RSA PRIVATE KEY----- MIIEpAIBAAKCAQEA7YTaQKcoqJr0hk9qkXkCTxWjscqgj0Gvk/74zWLPR4ZHMvyW Wyp5ZJ6GRwbnwEdeshWFnzkN/kbrjA6aaEdYC/dRDWh8vyxBC02ja06mN75E0PTv WEP2eGK0HkhOL9bzaZfFRtbtVCosSkK143eK6m1u/O/ec7kUDq8wW+GiXrO6ndj/ tZZzQCCGoXuxTiY6XKUBCxJu3XElqv+noto2yuh4jYz/7F0/hg+urmZ2yZfjL5VN zoD4Rlkcm6GY3RK9Hna6AVLE1QQJA/UJLV4rrJyCgUKCfzNMIkujucmdAfZ01C9Y PCE64Jq+8jnOoCfLbsy6JJza7NTZYBJyYELiEwIBIwKCAQEA3/JKH7OMvDpURB7+ FCGjF12LtkK0pFPgDzI7CsrgsSbVapZh4O2IZi8Q4+Hwc3Z92xubPlpdppqjkq6u 11k1wiOy0iCwIfaGeF8lDWdphQPae9+f1uD+VD/OZbHjUa1pKQtw3GQ+2lOmGiGk Lj2C+knsTZG0e70hijAmSACgZ+l4ZgiQ5IGBCi7UBT5USEW1FZNCA28aLMEP6u0t 1sSrGFPnFJqyrXIpaJJt8QYODGgDP8C7NOKBMLGE62s3BwDfQ3AtYbeFW1uUfsVw DskXu8pskD7sg5eXBjmMmuAyPz/OQETaNo+0oIbYFUaCW1a0bj7mrWRu91TJIQVL 2g6EowKBgQD9MmNRJcFSbIsdo0qNU+sVtDscTilhXKuKVig2kEYxLjGRfj9c2I1C +D6y/kXPIuS2xXX0umXU8WGbc30DQY+oUxiaLsKkftEDtteFGIXLpJkikLXQRZIx o3TPLsi5wQFQ8ViHW1PnyBn/eKYst+0Dh487Cl95hdXaUmn2M0MMjwKBgQDwJge/ jfZxLaHN8N+ExNnwPDKPNWOzrmVzLSG00bPrTJv5u2O+yHXvqosDNGANHWulFv2a SJ9E+ojNZMJjALCzot9kDdU9kHTMp6FyFK3C+wXlCfxiCycdOi0v5r3FO++HMhGr YR2jCWYYW0EXpmKzNECZ9buWYKzUZsHl6KLcPQKBgQD19m8boQTw+7pXTisqNEN0 K2yfJ1tl5P5pIH7V6zzfUXH7DO0YXVYGisCQnzyAE0SUSspbcz5Z1Iq0RE2OIm5L vm+ruGVPVp8oLfXvAeEO96qz3Qhj68/YcuaAHtGegPn229JXmowFuxHw25ocz+2O Zm3hlQxKKj10/5oiXa7Y/wKBgQDibP/9wF1jZYnuDv6hwOq9751idCrN/DPEXcCx zQi5SDtKjBw3ic5IXvgY9t44QE+NBwxeRHjpQ/1T8UmQi59KSRvEvJXa9ep30UBy 4EwPnDjCAhnYyK/ZuoJgXTaVZGV/eFnNeNLM65rGgezqaa2EZHdslzvW7W/A8yvY xWZanwKBgQDKYQGW4OvbsI//eMKhb6NxRTeWvllPypdX2xOe48T9Uk+xoq5k/K81 dmjv0l0QBG0mySYMFUf8fEJE84yC8yXpV9T3xwxZNixuHU7v5jjUbaC6JnC8sMO2 mEGtkNBKPehrSnnxMQcwZL3xZMVnFvVXfxXmIzmj4ooy1RmoxvkMxA== -----END RSA PRIVATE KEY-----
0 |
1
01-10-2008 00:41:29
Мы не разговариваем про большинство. и здесь не обсуждается qwerty и 1. Я могу сгенерировать такой же по длине и по страшному содержимому а оно тебе надо? Поэтому я и говорю "идиот" когда человек реально идиот если харнит такие RSA ключи. NNMm.ruru" в "HHJjl4747k" даже близко нету продолжай. вот видишь у тебя как злоумышленника уже порядочно времени ушло, да и не выйдет ниче. мне стоит всего лишь немного изменить алгоритм и и вид получаемых пассов будет в корне другим. а вот ты запаришься запоминать рандомные пароли от хранилищ меняя их минимум раз в месяц (если уж соблюдать все правила безопасности). ну и в чем смысл? видишь уже запоминать что то придиться. "Просто в IE нет проверки синтаксиса." да и что? и в линксе нету но я то не в осле, и не в линксе хотя последний обожаю. и при чем тут он? Блин наверно по твоей женской логике еще мне надо вести свой блог обовсякой х*не типа безопасности в блогах, вот на что тратят время такие юзеры как ты. насчет близкого знакомства ты прав, я например люблю ресурс wasm.ru где активно чтото подобное кипит постоянно, поскольку сам я занимаюсь ассемблированием 32битных процов и оптимизацией кода, практически повторя подвиги А. Фога каждый день. Также я админю всего навсего 3 сервера под nix(хотя ha кластер это тоже было бы интересно), и запоминать пассы отчасти моя работа. ппц... то что ты идиот мы уже установили но я не думал что настолько я тебе отвечаю уже 178пост а ты мне все за старое. давай ещё разок для закрепления: 1) Пароли должны быть стойкими.^&DH&*j2==9 и HHJjl4747k очень стойкие пароли. 2) Не должно быть вообще никаких слов из словаря или личных данных. Не должно быть никаких правил генерации, будь то объединение пары слов из словаря, русское слово в латинской раскладке или смещения по клавиатуре. Т.к. это значительно упрощает перебор.В ^&DH&*j2==9 и HHJjl4747k нет ничего этого, но в 123ivan_elgoog321 есть и мы такие пароли НЕ обсуждаем с самого начала. 3) Один ресурс - один уникальный пароль. Тема запоминания сотен уникальных несвязанных друг с другом правилами генерации паролей и ключей не раскрыта.Так и есть и что удобно - что от логина:домена складывается пасс который настолько страшен что не подлежит обратному преобразованию, по крайней мере у тебя не получилось и не получится. Тема "как защититься если у меня увели мастер-пасс и теперь я не могу залогиниться на 15 своих блогах" не раскрыта. [QUOTE]4) Мечтать об идеальной памяти не вредно. [.QUOTE] Не вредно, но она есть у людей которые ставят рекорды по запоминанию 1000 знаков после точки в pi. И самое инетерсное что ДАЖЕ ТАМ умудряются находить метод запоминания по годам, числам, и месяцам рождения всяких писателей итд. Ах блин... я же забыл - безопаснее чтобы никто не догадался как они это делают: записать все на бумажку и диктовать все с неё )) У остальных как например у меня к сожалению нет такой памяти и им приходиться изворачиваться как мне. Оставшиеся 50% людей либо записывают пароли как ты либо ставят пароль qwerty на все аккаунты. Тысячи спецов(подчеркиваю) умудряются хранить в голове пассы, придумывают методы, и надо сказать у них это получается. Однако все равно находиться такое воинствующее ушастое ламо типо тебя(наверно типа "админ" виндовс 2003 в локальной сети на 30 компов) которое активно плюсует на секлабе за сохранение паролей в FF(!), и за то что голова это куда менее надежнее чем флэшка и генерирует 247 паролей, потом сохраняет их за одним (или того хуже вот того RSA что ты здесь написал . В итоге как сейчас напарывается на новость типа "компрометация паролей Firefox в версии 10.0.1", остается с носом без кучи аккаунтов, но все равно продолжает сохранять пароли потому что голова ни на что не способна. Харош уже флеймить здесь про свои мегахранилища иди лучше побейся головой об угол, может че путное придумаешь. P.S. О НЕТ!! не карай меня за мои возможно допущенные синтаксические ошибки! ведь у меня нет этой замечательной штуки... хм.. как её?... АА! "проверки синтаксиса". Зато она есть в моем компиляторе пойду туда лучше, а ты посиди здесь и если кто то ошибется в напЕсании слова сразу пинай его!! Блин теперь точно все. Надоел ты мне за эти 3 дня.
0 |
1
01-10-2008 07:54:32
Поэтому я и говорю "идиот" когда человек реально идиот если харнит такие RSA ключи. Ну-ка, расскажи-ка что криминального в хранении RSA-ключей? Ну раз ты настаиваешь на подобном формате общения, то ты просто тупой дебил, ламера кусок, которой не знает что такое авторизация по ключам в SSH, что такое PGP и сертификаты платёжных систем, но пытается выглядеть умным и называть тех, кто знает идиотами. Иди убейся об стенку, кретин. вот видишь у тебя как злоумышленника уже порядочно времени ушлоНе забывай, что у злоумышленника, взломавшего дырявый ресурс с твоим паролем, будет еще имя пользователя и домен.У меня их не было. Конечно, не факт, что он попробует найти алгоритм. А что, если попробует? А алгоритм-то простой - иначе не запомнить, не преобразовать без спецпрограммы или десятиминутных вычислений на бумажке каждой буквы пароля... и при чем тут он? При том, что в остальных браузерах в отличие от убогих IE и lynx есть поддержка aspell: ff, opera, konqueror. Поэтому, а также из-за неадекватной реакции на сохранение зашифрованного контейнера паролей в собственном PC(аналог крипто-диска) и возникло предположение насчет IE. вот на что тратят время такие юзеры как ты.Да куда нам до великого гуру, страдающего ерундой по оптимизации 32-битного хлама. Такой юзер как я начинал изучать asm еще 16 лет назад на примере 8-битного 8085,затем были 8086,80386,Motorola 6800,MK51,pentium,семейство p6 и до ассемблера amd64 включительно и многое другое. Tasm,masm,nasm,gas... А блога у меня нет. Также я админю всего навсего 3 сервера под nixИ не знаешь про authorized_keys, а приведенное выше содержимое ~/.ssh/id_rsa приводит в искреннее удивление? Не верю! (с) Станиславский ппц... то что ты идиот мы уже установили но я не думал что настолько я тебе отвечаю уже Нда. Этот дебил создаёт пароли как функцию домена и логина по одному и тому же алгоритму и после этого рассуждает про стойкость и безопасность. yahoo-ею,уважаемая редакция. В ^&DH&*j2==9 и HHJjl4747k нет ничего этогоЕсли там нет смещений по клавиатуре, то неужели ты рисуешь таблицы подстановки или таскаешь ноутбук с программой преобразования логина и домена для ввода каждого пароля? Смещение по алфавиту? Теряюсь в догадках... Тема "как защититься если у меня увели мастер-пасс и теперь я не могу залогиниться на 15 своих блогах" не раскрыта. Сотый раз повторяю для тупых: если безопасность собственного компьютера такова, что там топчутся трояны, то все твои двадцать паролей от форумов вроде wasm, ][akep и трех опаче-серверов тоже давно ушли через кейлоггер. А если поддерживать такой уровень безопасности, то зачем тогда вообще какие-то пароли? Если всех, кто хранит пароли в хранилище ты называешь идиотами, то ты первый из них, потому, что доверил хранение паролей в зашифрованном виде(master.passwd или shadow) своим серверам. Не вредно, но она есть у людей которые ставят рекорды по запоминанию 1000 знаков после точки в pi.Вот это и есть гении, про которых я и говорил до того как в топик ворвался ты и начал с криками "идиоты!" доказывать, что свой способ генерации с помощью простых преобразований, который ставит под удар все пароли при компрометации любого из них(а в сети очень много дырявых ресурсов) - самый правильный. Тысячи спецов(подчеркиваю) умудряются хранить в голове пассы, придумывают методы, и надо сказать у них это получается.И у меня получается. Но не сотню. Однако все равно находиться такое воинствующее ушастое ламо типо тебя(На себя посмотри, чайническое быдло, быдлоодминящее 3 машины, которое знает только парольную авторизацию и впервые увидело приватный ключ RSA для SSH и, судя по стремлению избавиться от лишних девайсов, не знает и о токенах. активно плюсует на секлабе за сохранение паролей в FF(!), и за то что голова это куда менее надежнее чем флэшка и генерирует 247 паролей, потом сохраняет их за одним (или того хуже вот того RSA что ты здесь написал . Ну так и носи shadow и master.passwd в голове, если доверять компьютеру хранилище паролей опасно. А механизм хранения паролей в зашифрованном виде есть не только в FF, но и в KDE. Там он называется "бумажник" - отпирается парольной фразой и дает доступ авторизованным приложениям к определённым секретам. Концепция та же, что и у криптодиска. Способ контейнеров, хранящих стойкие ключи, используется и для защиты ключей вроде показанного выше. А память да, ненадёжна - иначе проблемы с забыванием паролей не существовало бы. Метод с хранилищем паролей со стойкими паролями, которые вообще никак не связаны друг с другом, как было доказано выше, значительно надёжнее метода объединения всех паролей единым алгоритмом реализуемым без сложных вычислений. При локальной компрометации и установке кейлоггера способ хранения паролей значения не имеет - будут скомпрометированы все введённые пароли. Твой метод, преимуществом которого является только независимость от флешек, телефонов и брелков сосёт по полной программе когда речь заходит о значительно более надёжных способах авторизации с помощью ключей, сертификатов и токенов, о которых ты даже не знаешь. Надоел ты мне за эти 3 дня. А тебя никто не тянул за язык называть других идиотами, чтобы получить развёрнутый ответ, что сам идиот.
0 |
1
01-10-2008 11:25:22
Избавим тебя от гугления по всем возможным компиляторам и процессорам а также от гугления по остальным малознакомым для тебя темам в которых ты уже явно доказал что ламер и вернемся к сути всех трений : Если там нет смещений по клавиатуре, то неужели ты рисуешь таблицы подстановки или таскаешь ноутбук с программой преобразования логина и домена для ввода каждого пароля? Смещение по алфавиту? Теряюсь в догадках...Ебладолб тебе сказали в 145 раз что не надо никаких ноутов, что можно придумывать сложные пароли не используя прогу-генератор... ппц... ты просто пишешь вообще не читая что тебе отвечают?? Более я тебе написал примеры пассов а ты че? А механизм хранения паролей в зашифрованном виде есть не только в FF, но и в KDE.А давай перечислять все где есть механизим хранения паролей, хотя нет... у тебя не хватит терпения гуглить... Судя по твоей реакции на "][акер" я все таки попал в точку. ты студент ломобот, как же достало ваше поколение яндекса и гугла. тупые школьники. Короче судя по тому что ты пишешь ты даже и малейшего представления о безопасности не имеешь а только бахвалишься тем что у тебя на флэшке полсотни кроптостойких паролей длиной 30 символов. И че? Это метод большинства, я тоже могу начать таскать с собой флэшку. Сотый раз повторяю для тупых: если безопасность собственного компьютера такова, что там топчутся трояны, то все твои двадцать паролей от форумов вроде wasm, ][akep и трех опаче-серверов тоже давно ушли через кейлоггер. А если поддерживать такой уровень безопасности, то зачем тогда вообще какие-то пароли? Если всех, кто хранит пароли в хранилище ты называешь идиотами, то ты первый из них, потому, что доверил хранение паролей в зашифрованном виде(master.passwd или shadow) своим серверам.Таких как ты называют "выдумщик придумал про апачи че то и сделал кучу непрофессонально неточных выводов. Я че то говорил про апачу на моих серверах? Меня интересует как ты собираешься в obsd мне подсадить кейлоггер, а самое главное КАК ты собираешься его ЗАПУСТИТЬ там. чтобы получить развёрнутый ответ, что сам идиот. Тема "как защититься если у меня увели мастер-пасс и теперь я не могу залогиниться на 15 своих блогах" не раскрыта. Сел в лужу так будь добр держись достойно, или хотя бы достойно разворачивать ответ научись основываясь на логике а не на твоих предпочтениях.
0 |
1
02-10-2008 08:43:26
Избавим тебя от гугления по всем возможным компиляторам и процессорам а также от гугления по остальным малознакомым для тебя темамДа? Ну тогда ты вообще секлабовский чат-бот. в которых ты уже явно доказал что ламерА может наоборот? Это ведь ты там проводил параллели между ГПСЧ и ГСЧ и собирался с помощью теории вероятности взламывать остальные пароли по одному скомпрометированному, да еще считаешь, что объединение паролей простым алгоритмом это безопасно,слыхом не слыхивал про ключи,сертификаты и токены, с которыми придётся "носиться" как с флешкой, и настолько хреново разбирается в *nix и безопасности, что называет пользователей авторизации по ключам идиотами, а хранение ключей идиотизмом. не надо никаких ноутов, что можно придумывать сложные пароли не используя прогу-генератор.Придумать пароль не проблема. Проблема в том, чтобы запомнить. Ты ведь сейчас говоришь не просто о генерации паролей, а о генерации пароля на лету, чтобы можно было на основании имени домена и логина ввести пароль? Значит алгоритм там должен быть достаточно простой, лежащий на поверхности. Значит ни о какой стойкости не может быть и речи.Иначе vasyaseclab123 был бы тоже стойким паролем. Судя по твоей реакции на "][акер" я все таки попал в точку. ты студент ломобот, как же достало ваше поколение яндекса и гугла. тупые школьники. Дак студент, школьник или дядя? Ты меня уже совсем запутал своей женской логикой. А журнал ][акер упомянут в одном ряду с wasm поскольку такой же ресурс для юных кульхацкеров и вирьмейкеров как ты. Ты ведь сам о них заговорил. Короче судя по тому что ты пишешь ты даже и малейшего представления о безопасностиИ это говорит человек, который не знает ничего кроме парольной схемы авторизации,который считает использование RSA ключей для SSH-авторизации идиотизмом, объединяет все пароли одним простым алгоритмом.)))))) а только бахвалишься тем что у тебя на флэшке полсотни кроптостойких паролей длиной 30 символов. И че? Хранение множества паролей в контейнерах-вынужденная мера.Такая же,как твои преобразования, используемые вместо того, чтобы вызубрить индивидуальные стойкие пароли, которые никак не связаны между собой.Флешки с паролями нет. Таких как ты называют "выдумщик придумал про апачи че то и сделал кучу непрофессонально неточных выводов. Я че то говорил про апачу на моих серверах?Нет. А я что-то говорил про win2003? Меня интересует как ты собираешься в obsd мне подсадить кейлоггер, а самое главное КАК ты собираешься его ЗАПУСТИТЬ там. У-у-у, openbsd. Две удалённых дыры за десять лет в конфигурации по умолчанию! Круто! А сколько локальных рутов и дыр в конфигурации не по умолчанию с браузером? А как обстоят дела с безопасностью при физическом доступе злоумышленника к компьютеру(там выше пугали злобными коллегами и друзьями, зашедшими попить пивко)? Сомневаюсь, что openbsd на рабочей станции, куда предстоит установка кейлоггера, не выдумка. Иначе чего бы опенлсдшник зависал на досо-виндовом wasm? Или ты говорил про openbsd сервера, которые админишь с локальной консоли? Насчет запуска кейлоггера на рабочей станции под *nix: xkey.c. Тема "как защититься если у меня увели мастер-пасс и теперь я не могу залогиниться на 15 своих блогах" не раскрыта.А никак.Надо заниматься профилактикой, а не лечением последствий хреновой защищенности. Если ты так не считаешь, то вперёд юзать свой метод хранения паролей на непропатченной винде с дырявым IE. И еще тема как ты собираешься украсть мастер-пароль не раскрыта. Тебе такая же вводная: на машине юзерспейсный кейлоггер или руткит со встроенным кейлоггером, все твои тщательно составленные пароли от ][akep, wasm и еще десятка кульхацкерских ресурсов ушли. Твои действия?
0 |
1
02-10-2008 15:04:36
все твои комментарии про "васм" и "32-битный мусор" я отошлю к другим разработчикам ПО пусть они поймут что "anonymous" хоть и не умеет ниче кроме как гуглить, но видимо разбираеться больше ихнего во всем этом, и им следует сразу же прекратить заниматься оптимизацие кода и прочей фигней. мы лучше дружно вместе начнем региться на "хакер.ру" и ср**ть в камментах секлаба всякими нелепостями и обезъянничеством. Ты меня уже совсем запутал своей женской логикой.не тырь мои выражения обезъянка если мозгов не хватает. как обстоят дела с безопасностью при физическом доступе злоумышленника к компьютеру(там выше пугали злобными коллегами и друзьями, зашедшими попить пивко)? ХА-хА-хА.. ламобот ушастый. Если бы злоумышленник имело доступ физический то криптостойкие пароли тогда вообще не нужны были, мы вообще то обсуждаем немного другую тему. Знаешь... если ты будешь предлагать другие нелепые фантазии на тему "как пробраться в серверную незаметно" то этот разговор займет в 2 раза больше. Насчет запуска кейлоггера на рабочей станции под *nix: xkey.c. ухх блин. долго гуглил? А серъезное нашёл че нить? )) Вообще то даже идиоту понятно что получить тебе парольного трояна через твоего любимого IE или FF гораздо вероятннее чем у меня, потому что моему юниксовому злоумышленнику надо ещё добраться до моего сервака и скомпилить на нём кей.си Или ты сейчас будешь спорить что все таки келоггеров больше под линуха чем под винду? И еще тема как ты собираешься украсть мастер-пароль не раскрыта. На твоей МЕГАПРОПАТЧЕНОЙ винде берем и отправляем тебя на сайт откуда тебе заливается троян и уводит мастер пароль и как следствие все 20 штук которые были за ним. Даже если я когда нить сойду с ума и полюблю винду и буду сидеть в IE то максимум что у меня уведут это фактически только 1 пасс, а вот у тебя может выпасть вероятность это этот пасс - мастер-пасс, и как я уже написал это будет уже не 1 украденный фактический пароль. Тема про украденный мастер пасс компрометирующий 230 лежащих за ним пассов раскрыта полногстью, и не только мной но и комментаторами чуть пониже этого поста. Винодовоз ты ломоботный сам сказал: Надо заниматься профилактикой, а не лечением последствий хреновой защищенности.а сам спрашиваешь у меня "что будешь делать если украдут пароль".. а твои действия?? ))
0 |
1
03-10-2008 09:38:24
"32-битный мусор"В эпоху массового распространения 64-битных процессоров это именно 32-битный хлам. и им следует сразу же прекратить заниматься оптимизацие кода и прочей фигней.Этим должны заниматься оптимизирующие компиляторы, а не Васи Пупкины с васма, пишущие бесполезные демки, пытаясь уместить их в 4 КБ. Именно поэтому UNIX писали на С, а не на ассемблере.На ассемблере пишут только бесполезные красноглазые поделия типа MenuetOS. Толку от того, что ты кропотливо оптимизировал программку под какой-нибудь pentium 3, на котором идеально смотрится openbsd, если на p4 northwood, p4 prescott, xeon, core duo, athlon64, opteron с другими объемами кешей и своими особенностями архитектуры не будет той же эффективности? Если даже между пнями 4 некоторые инструкции работают по-разному, например, под Prescott нужно пилить с учётом операций смещения и вращения(блоки работают на удвоенной частоте ALU) и ускоренного imul. Будешь кропотливо переписывать код под каждый процессор когда гентушники запустят gcc или icc и получат тот же эффект? Единственное исключение это оптимизация под набор SIMD инструкций операций с векторами - компиляторы пока не настолько умны, чтобы нормально векторизовать код, хотя попытки уже есть(например, глючный -ftree-vectorize), но и там удобнее использовать векторные расширения/intrisic-макросы, нежели чистые ассемблерные вставки. не тырь мои выражения обезъянка если мозгов не хватает.Что, не понравилось как по самому применили анализ логики? ))) ХА-хА-хА.. ламобот ушастый. Если бы злоумышленник имело доступ физический то криптостойкие пароли тогда вообще не нужны былиДо тебя как до жирафа только дошло то, о чём я талдычу сотый раз и к чему упоминал токены? Да, ассемблерщег-бсдшнег это гремучая низкоуровневая смесь, которая не видит за деревьями лес. А как ты думаешь для чего придумали шифрованные ФС,контроллеры для прозрачного шифрования информации на дисковых накопителях, расширения ATA security, прозрачное шифрование в винтах(seagate) и такие извращения как токены, дурачок? Да, именно для того, чтобы принять ближний бой с злоумышленником, получившим физ. доступ к машине или её накопителям! И это ламо рассуждает о безопасности... если ты будешь предлагать другие нелепые фантазии на тему "как пробраться в серверную незаметно" то этот разговор займет в 2 раза больше. Так значит ты сидишь в запертой серверной в тулупе и админишь сервера с локальной консоли, а не по ssh с админской машины, на которую коллеги могут поставить келоггер, даже если там obsd?! В этом плане даже бумажка или флешка с паролями, запертая в сейфе обеспечивает лучшую сохранность. ухх блин. долго гуглил? А серъезное нашёл че нить? )) А чем тебе не нравится кейлоггер для *nix станции? Только не ври, что не пользуешься на рабочей станции иксами и сейчас, сидя, конечно же, в openbsd, куда якобы невозможно поставить ни руткит ни кейологгер, флудишь из lynx с чистой консоли. Вообще то даже идиоту понятно что получить тебе парольного трояна через твоего любимого IE или FF гораздо вероятннее чем у меня, потому что моему юниксовому злоумышленнику надо ещё добраться до моего сервака и скомпилить на нём кей.си Ты правда тупой? Что ты прыгаешь с десктопа на сервер? Если говоришь об атаке троянами на десктоп, то и сравнивай десктопы. Или ты, тупица, пользуешься только серверами, об ssh никогда не слышал, поэтому бегаешь по каждому чиху к локальной консоли или, чтобы сэкономить время, сидишь в серверной в ватнике ну и, конечно, заходишь сюда и на wasm с сервера, не пользуясь браузером?! Или всё-таки у тебя есть персоналка с виндой или с x11 и браузером, которая вполне может получить кейлоггер? Или ты сейчас будешь спорить что все таки келоггеров больше под линуха чем под винду? obsd не линух, ламер. Что-то тебя кидает с обсуждения кейлоггеров с десктопов на сервера и с obsd на линух.С головой всё нормально? На твоей МЕГАПРОПАТЧЕНОЙ винде берем и отправляем тебя на сайт откуда тебе заливается троян и уводит мастер пароль и как следствие все 20 штук1) Откуда вывод, что у меня винда? Там не винда => злоумышленник курит бамбук. 2)Я не иду по ссылке => злоумышленник курит бамбук. 3)Если бы там была винда, то эксплоит блокируется файрволом => злоумышленник курит бамбук. Тебе та же вводная: на твоей МЕГАПРОПАТЧЕННОЙ ${OS}, которая стоит у тебя на персоналке "берем и отправляем тебя на сайт откуда тебе заливается троян" с вин-кейлоггером или юниксовый с алгоритмом аналогичным xkey.c "и как следствие уводит все 20 штук" твоих мегасгенерированных паролей. Теперь дошло, что при прочих равных в случае успешной эксплуатации персоналки твой метод не поможет, как и стойкие пароли в локальном хранилище, о чём сказано не один раз? Да, кстати, ты использовал моё выражение "мега", обезьянка. © Даже если я когда нить сойду с ума и полюблю винду и буду сидеть в IE то максимум что у меня уведут это фактически только 1 пассС чего ты выдумал, что только 1 пароль?! У тебя уведут ровно столько паролей, сколько ты введешь до того момента как заметишь,если заметишь, факт компрометации. А поглядев на пароли могут понять и сам принцип генерации переломать абсолютно все оставшиеся пароли. Тема про украденный мастер пасс компрометирующий 230 лежащих за ним пассов раскрыта полногстьюПро хранение всех яиц в одной корзине сказано не спроста. Поэтому хранилищ несколько. а сам спрашиваешь у меня "что будешь делать если украдут пароль".. а твои действия?? ))Тебе редиректили твою же вводную насчёт троянов, тупица, чтобы выяснить чем же в этом случае поможет твой метод. На что ты вдруг начал переводить речь на сервера,админящиеся, очевидно, с локальной консоли, начал прыгать с obsd на linux, удивился узнав, что под *nix есть кейлоггеры, выдумал, что потерян будет только один пароль и нёс тому подобную х-ню.
0 |
1
03-10-2008 12:22:23
Тема про украденный мастер пасс компрометирующий 230 лежащих за ним пассов раскрыта полность. Поэтому не считаю нужным комментировать высказывания какого то лоха который считает что все процы в современном мире 64 битные , даже учитывая то что ты нагуглил слово ALU )) и пытается тут на нагуглённом рассуждать об оптимизации не зная даже пентиума (а че ж ты нагуглить про нулевое различие TSE и TST между 32 и 64bit наверно не смог???), а также все остальные высказывания. лошара. учи матчасть.
0 |
29-09-2008 14:34:45
Использовать "генератор в голове" мне пришлось после того кк я утерял флэшку с хранилищем бесткрипта, и надо сказать на протяжении 5 лет не подводило. Давайте просто пожелаем всем больше доверять своему мозгу пароли чем быдлокодерам. Хм... По голове тоже могут ударить...
0 |
1
29-09-2008 16:06:56
ОМГ, ты гений! А давайте заведём пару сотен сложных паролей и будем их сохранять в браузере, а после очередного "глюка" компа/винта/софта и т.п. будем создавать новый акк/мыло/заново подымать серв. Или нет... А давайте будем записывать их на флешке! А тем временем, "коллега" увидит это чудо творения и напишет копи-паст софтину, которая пиздит содержимое флешки. Или нет, давайте их бум хранить в софтине, на которой будет стоять пароль "12345", супер!!!!!!111адинадинадин
0 |
1
29-09-2008 16:09:27
П.С.: Если у АйТишника нет памяти запомнить свои 5-10 10-15буквенных паролей - значит у него нет мозгов.
0 |
1
29-09-2008 17:05:13
хмм. блин ты высказался проще чем я +1
0 |
1
30-09-2008 04:12:29
Если у АйТишника нет памяти запомнить свои 5-10 10-15буквенных паролей - значит у него нет мозгов. Мозговитый, а тебе слабо запомнить 2048-битный ключ RSA, используемый для авторизации, чтобы "коллега" не сп..дил? Если айтишнег не знает что такое backup,шифрованные файловые системы,стойкие пароли, а коллеги у него крадут данные - значит у него нет мозгов. ЗЫ Кроме ключей у меня порядка сотни стойких 8-20 символьных паролей и запомнить их нереально потому, что, это, в основном, случайный набор букв в разном регистре, цифр и спецсимволов. ЗЗЫ Выбирайте легко запоминающиеся пароли или несколько сложных и используйте их для всех ресурсов - это сильно облегчает жизнь хакерам. Очень здорово, когда сложный пароль от взломанного форума подходит и на email,icq,vpn и ssh.
0 |
1
30-09-2008 03:53:23
ОМГ, ты гений! А давайте заведём пару сотен сложных паролей и будем их сохранять в браузере, а после очередного "глюка" компа/винта/софта и т.п. будем создавать новый акк/мыло/заново подымать серв. Или нет...Чайник. Админы(и юзеры) делятся на тех, кто не делает бэкап и тех, кто уже делает. Хранилище паолей и криптодиски тоже можно бэкапить. Разрешаю. А давайте будем записывать их на флешке!В зашифрованном виде - без проблем. А тем временем, "коллега" увидит это чудо творения и напишет копи-паст софтинуА давайте откажемся от разделения полномочий, баз данных и файл-серверов и будет носить гигабайты данных в голове, чтобы коллеги не сп..ли? И вообще Интернет - опасная штука, поэтом давайте откажемся от онлайн платежных систем, интернет-магаинов и будем отправлять личную почту на перекладных, чтобы не получить трояна?!
0 |
26-09-2008 09:33:52
После установки последнего обновления ФФ глючить стал в 100 раз больше....
0 |
1
29-09-2008 01:18:02
юзай "Оперу" и будет тебе щастье
0 |
29-09-2008 14:41:28
После установки последнего обновления ФФ глючить стал в 100 раз больше.... Плохо разработанные или несовместимые расширения могут вызвать проблемы с вашим браузером, в том числе его падение, замедление загрузки и отображения страниц и т.д. Если вы наблюдаете странные проблемы, связанные с отказом работы различных компонентов браузера, если браузер не запускается, содержимое окон искажено или в них появляются странные символы, упала производительность и.т.д., то возможно проблема заключается в одном из расширений или тем. Перезапустите браузер в безопасном режиме. В Windows запустите Firefox используя ярлык «Firefox (безопасный режим)» находящийся в меню «Пуск» или выполнив команду firefox.exe -safe-mode. В Linux запустите Firefox командой ./firefox -safe-mode При запуске в безопасном режиме все расширения будут отключены и будет использована тема по умолчанию. Отключите Расширение/Тему, вызывающую проблемы, и запустите Firefox в нормальном режиме.
0 |
1
26-09-2008 09:56:26
Уже вышел. Тормозит секлаб.
0 |
26-09-2008 10:14:47
Автообновляться не хочет...
0 |
1
26-09-2008 10:24:04
Автообновляться не хочет...Гранаты у вас не той системы (с) На нормальных системах уже есть в репозиториях, и все обновляется. Правда, на нормальных системах и проблемы такой не было, все пароли работали.
0 |
1
26-09-2008 11:14:00
>На нормальных системах уже есть в репозиториях Сцылко ф студийа! 54987
0 |
1
26-09-2008 11:29:12
Здесь
0 |
1
26-09-2008 11:43:35
Спасибо! 53622
0 |
1
26-09-2008 11:19:31
вышла бета1 обновления доступны только тем, кто использовал ранее бета и альфа версии
0 |
1
26-09-2008 18:45:04
Да кого этим напугаешь? В линуксе софт годами в бета-версиях, и прекрасно работает. По крайней мере, хоть глюк с майл.ру поправили, а остальное и так нормально было.
0 |
1
26-09-2008 18:52:26
А почем видно, что бета, кстати? Раньше так и писали - ...3.0~b5... или там ...3.0~rc1... А сейчас ...3.0.3+build1...
0 |
1
26-09-2008 10:42:02
А есть люди, которые хранят пароли где-то кроме головы? Дайте же мне их!!!
0 |
1
26-09-2008 10:47:18
это я мне трудно запоминать, где у меня пароль qwerty, а где 123456, поэтому я их держу в браузере
0 |
1
26-09-2008 13:34:29
)) +1
0 |
1
26-09-2008 11:31:42
Я сдесь. Почему? Да потомошту на каждый сайт/форум свой пароль.
0 |
1
26-09-2008 11:53:21
Как нибудь прочешите систему программой SIW - очень впечатляет когда он тебе пароли в открытом виде показывает.
0 |
26-09-2008 12:34:33
Что и удалённо может? А локально доступа-то нет.
0 |
1
26-09-2008 12:39:34
У тебя даже друзей нет, которых ты пускаешь домой попить пефко? 88882
0 |
1
26-09-2008 13:36:13
нихрена себе "друзья", которые под шумок прочесывают систему программой SIW
0 |
1
26-09-2008 12:36:58
Поставь мастер-пароль и не увидишь пароли в открытом виде))) По сабжу, у меня глюков с паролями не было. Что я делаю не так?
0 |
1
26-09-2008 13:03:28
Поставил Мастер пароль. Ещё вопросы?
0 |
1
28-09-2008 16:11:23
А оно под вайном идет?
0 |
1
26-09-2008 16:33:45
А есть люди, которые хранят пароли где-то кроме головы? Дайте же мне их!!! А вы держите в памяти полсотни паролей вида "D4Lk#HtN4Nm5_76TgA"? Может быть и секретные RSA и GOST ключи наизусть знаете?
0 |
Страницы: 1  2  3